что такое сервис иссоп ржд
РЖД запустили пилотный сервис с информационным и развлекательным контентом
МОСКВА, 10 мая — РИА Новости. РЖД запустили пилотный проект сервиса по предоставлению пассажирам информационного и развлекательного контента, следует из слов президента компании Олега Белозерова и представителя РЖД.
«В пилотном режиме начала работать платформа «Единое информационное пространство», которая позволяет пассажиру, один раз зарегистрировавшись и подключившись к wi-fi на вокзале отправления, двигаться дальше, сопровождаясь доступом к поездному контенту в рамках этой услуги. Можно заказать себе питание, посмотреть кино. До конца лета мы ее отработаем и распространим», — сообщил Белозеров во вторник на совместном заседании коллегии Роспотребнадзора и РЖД.
Представитель РЖД пояснил журналистам, что сервис называется «Единое информационное пространство». «Бесшовная авторизация позволяет пассажиру, подключившись к сети wi-fi на вокзале, автоматически перейти в сеть wi-fi в поезде. На вокзале пассажир имеет доступ к высокоскоростному интернету, в поезде – к предустановленному контенту с фильмами, музыкой, книгами и так далее (как в самолете)», — пояснили в компании.
Сервис запущен в тестовом режиме на маршруте Москва-Адлер поезд №104 с 9 мая текущего года. Авторизоваться в единую сеть пассажир может не только на конечных пунктах (Казанский и Адлер), но и на 11 вокзалах по пути следования. Собеседник агентства при этом напомнил, что устойчивый выход в интернет по сетям wi-fi пассажиры могут получить на 79 вокзалах РЖД.
В РЖД добавили, что единая сервисная платформа позволит предоставить необходимые сервисы пассажирам не из публичного интернета, а непосредственно с данной платформы. Ее основная задача — сопровождать пассажира на протяжении всей поездки с РЖД: начиная от планирования и заканчивая выходом из вокзала в пункте назначения.
По прибытии на вокзал пассажир сможет получить информацию об инфраструктуре вокзала, информацию о расписании поездов, доступ к электронному табло, возможность приобретения билетов и другую полезную информацию, доступ к развлекательному и мультимедийному контенту. При этом продолжить просмотр фильма будет можно в поезде.
My rzd ru
Created with Sketch.
Сервисный портал работника ОАО «РЖД»
My rzd ru — портал представляющий собой современный формат предоставления работнику различных услуг, льгот, гарантий и информации.
Вход в личный кабинет (по СНИЛС)
За порталом закреплено доменное имя – my.rzd.ru (вход на портал лучше осуществлять с персонального компьютера работника РЖД). Перед первым использованием сервис потребует авторизоваться – ввести свой уникальный логин и пароль. Пройдя процедуру идентификации, пользователь увидит заполненный профиль, в котором отражены основные данные, хранящиеся в личном деле.
Возможности:
Популярные вопросы
Если вы работаете в системе РЖД, то вы уже там есть и вам остается только получить пароль для входа в ваш профиль. Это можно сделать в отделе кадров. При личном запросе вам выдадут именное приглашение с одноразовым паролем. Логином служит СНИЛС, его номер, а пароль вы поменяете при первом входе на свой. Еще при регистрации вам понадобится указать адрес электронной почты. Поэтому приготовьте его заранее.
В разделе «Мои справки» можно уже заказать 16 различных справок, включая 2-НДФЛ и справку с места работы, оформить виртуальное транспортное требование.
В разделе «Мой доход» графически отображается информация по заработной плате – можно посмотреть её составляющие и данные за предыдущие периоды.
«Мои льготы» позволяет работнику оформить любую льготу через сервисный портал. В личном кабинете есть персональный калькулятор льгот, гарантий и компенсаций, он позволяет автоматизировать подачу заявок на детский отдых. В перспективе станет также возможно дистанционное оформление заявок на санаторно-курортные путёвки, льготный проезд, спортивный абонемент, занятия в кружках и секциях, участие в волонтёрских проектах, получение бытового топлива и других услуг.
В блоке «Моё продвижение» представлена вся информация по кадровому резерву, причём работник теперь может выдвинуть свою кандидатуру в резерв либо на вакансию благодаря сервису «Самовыдвижение».
Для желающих пополнить багаж профессиональных знаний в личном кабинете есть раздел «Моё развитие», который позволяет перейти на обновлённый портал дистанционного обучения и в электронную библиотеку бизнес-литературы Корпоративного университета РЖД.
В этом разделе представлена контактная информация всех Ваших коллег. Для поиска необходимо задать должность или фамилию и система покажет карточку найденно сотрудника со всей необходимой контактной информацией.
Сервис «Корпоративное наставничество» позволит любому сотруднику компании найти себе наставника, эксперта для консультации или самому выступить в любой из этих ролей.
Функция дает возможность поблагодарить коллегу через сервис «Спасибо». Предполагается, что сотрудники, набравшие определённое количество лайков, будут отмечены руководством.
Обратите внимание, для скачивания приложения Вы должны быть авторизованы на портале. Чтобы скачать приложение на android или ios перейдите по ссылке https://my.rzd.ru/app/ios
Понравился сервис? Расскажите об этом друзьям
Обратите внимание! Если не можете войти на портал, не приходит пароль на почту, неправильное имя пользователя или пароль, неверно введен пароль, не получается восстановить доступ, не приходит одноразовый пароль и другие проблемы с входом на портал, то позвоните по номеру 88001001520 или подайте заявку в ЕСПП.
Есть вопросы или пожелания по работе сервиса?
Официальный сайт:
my.rzd.ru
По вопросам клиентского обслуживания обращайтесь по круглосуточному бесплатному телефону Единого информационно-сервисного центра
8-800-775-00-00
Все торговые марки, товарные знаки и логотипы, зарегистрированные надлежащим образом, принадлежат владельцам таких торговых марок, товарных знаков и логотипов.
Все упоминания на этом сайте данных объектов авторского права, а также наименований компаний, владеющих авторскими правами на эти объекты, носят исключительно информационный характер.
Все материалы на этом сайте размещены исключительно в информационных целях без скачивания и продажи.
Фото-, видео- материалы, используемые для ознакомительных целей на этом сайте, взяты из открытых источников.
Что такое сервис иссоп ржд
Недостатки программ ИСОП (ESOP)
Групповая частная собственность
Внешне на действительную коллективность очень похожа и выдает себя за нее мнимая коллективность, основанная на групповой
частной собственности. Так, в Соединенных Штатах на тысячах предприятий применяется система ESOP – программа наделения рабочих акциями предприятий. Взглянем на порядки на таком предприятии с точки зрения распределения результатов труда.
По словам бывшего президента ассоциации ESOP У. Брауна в системе ESOP «базовые размеры заработков выводятся на основе анализа заработков в данной местности (если имеются соответствующие сведения), или на основе соответствующих национальных заработков в промышленности, привязанных для данной местности. Это обеспечивает основу, из которой определяется уровень оплаты труда для конкретной профессии. Затем из индекса прибыльности и потребностей в капитале выводится процент повышения годовой заработной платы. Вот эти–то проценты повышений за личные заслуги в работе и применяются далее в отношении к каждому работнику.
Для того, чтобы оценка личного участия, от которой зависит размер ежегодно устанавливаемой заработной платы, была справедливой и беспристрастной, мы предлагали работникам самим определить свое место среди других коллег. Это позволило отклонять придирки
и претензии со стороны управленческой иерархии.
Окончательная характеристика работника в соответствии с методикой, применяемой в период повышения заработной платы, просматривается совместно с работником и его мастером, а затем данные поступают на контроль к исполнительному вице–президенту фирмы. По завершению этого процесса работники должны подписаться под характеристикой и предполагаемым повышением заработной платы, если они согласны. Если же согласия нет, работник может обратиться к заведующему отделением или, при необходимости, к исполнительному вице–президенту в присутствии заведующего отделением.
Система, стимулирующая лучший труд, оказывает сильное воздействие на работников, чья работа не соответствует стандартам компании. В редчайших случаях рассмотрение намечаемого увеличения заработной платы работника заканчивалось подачей апелляции и только в одном случае работник покинул кабинет исполнительного вице–президента, не согласившись со своей „объективкой“. Эту систему ежегодного увеличения „ставок“ зарплаты в зависимости от личного вклада мы горячо рекомендуем как справедливую и надежную, при которой не теряется контроль за общей стоимостью труда».
Эта длинная выдержка стоит того, чтобы в нее внимательно вчитаться. Прежде всего, легко убедиться, что долевого участия работников в доходе здесь нет и в помине. Есть особая процедура установления зарплаты и ее ежегодного повышения с учетом «индекса прибыльности и потребности в капитале», то есть, на более привычном нам языке, с учетом «опережающего роста производительности труда по отношению к росту заработной платы».
В условиях стихийного общего роста цен, так же естественного для капитализма, как вращение Земли вокруг Солнца, регулярное повышение зарплаты представляет собой для капитала объективную необходимость. Не только неизбежную, но и удобную, поскольку такие повышения зарплаты могут использоваться и используются в качестве и кнута, и пряника одновременно, как «проценты повышения за личные заслуги».
Каковы эти заслуги, и какой быть зарплате на протяжении всего следующего года определяет начальство. Причем делается это с привлечением самого рабочего, так, что он, в конечном счете, должен подписаться под своей «объективкой» и предложенной ему зарплатой. Или же идти «искать правду» у более высокого начальства, чего, как и следовало ожидать, обычно не бывает.
В конечном счете эта процедура обеспечивает «контроль за общей стоимостью труда» или, правильнее сказать, контроль за ценой рабочей силы.
При этом отношение найма и отчуждение продукта от работников осуществляет формально нанятая ими администрация. Рабочие нанимают администрацию, а администрация нанимает рабочих. При этом она действует, разумеется, прежде всего, в интересах своих и финансового капитала, в кармане у которого сидит любой промышленный капитал. В том числе и групповой. Отношение найма не преодолевается, напротив, его преодоление вместе с ним самим уводится в гегелевскую «дурную бесконечность». И, вместе с тем, – в полнейшую безысходность.
В общую систему наемного труда групповой капитал вписывается ничуть не хуже, чем индивидуальный или государственный, и даже лучше, поскольку к эксплуатации нанимателями труда наемных работников он подключает их самоэксплуатацию, практически исключая при этом какую–либо классовую борьбу.
Псевдоколлективная, групповая капиталистическая собственность представляет собой отчуждение труда и средств производства в пользу абстрактного «коллектива», как суммы, лишенной сущности. При этом средствами производства, продуктом труда и самим трудом
рабочих от имени «коллектива» распоряжаются формальные «представители коллектива», которые стригут с прибавочного труда рабочих купоны для себя. Что при этом думают они сами или рабочие, с точки зрения формы экономических отношений совершенно неважно.
Качественная сторона отношения от этого не меняется. Более или менее сознательный обман рабочих нанимателями, действующими от лица «коллектива» не становится истиной от того, что он дополняется или подменяется самообманом обеих сторон. В этом состоит суть и т.н. анархо–синдикализма – профсоюзной псевдоколлективизации промышленного капитала, заведомо не выходящей и не выводящей за рамки системы наемного труда.
Псевдоколлективная капиталистическая собственность на средства производства существует уже не столько в противовес отживающей индивидуальной или государственной частной собственности, сколько в противовес и как отрицание идущей им на смену действительно коллективной, общественной собственности на средства производства. В групповой частной собственности мистификация отношений капитала достигает своего крайнего выражения и препятствует выходу общества из этого насквозь фальшивого состояния.
Из книги А.Г. Махоткина «ПРЕОДОЛЕНИЕ КАПИТАЛА»
Судьба его неоднозначна. На первый взгляд это детище Келсо и Лонга, как мы уже упоминали, добилось больших успехов — применение ИСОПа широко распространилось в США и в большинстве развитых капиталистических стран.
Показательно, что в последние годы ИСОП стал почти повсеместно применяться на фирмах Силиконовой долины по производству микропроцессоров и другой электронной продукции. Факт этот свидетельствует о важнейшем обстоятельстве: чем выше развиваются производительные силы, тем острее становится потребность в увеличении заинтересованности всех работников в успехе предприятия, в их добросовестной и инициативной работе.
Развитие ИСОПа, как и развитие всех других видов групповой трудовой собственности, стали в США уже настолько массовым явлением, что привели к возникновению множества научно-исследовательских институтов, научных групп в университетах, коммерческих консультационных и инвестиционных фирм, специализирующихся на обслуживании компаний с собственностью работников и трудовых коллективов, желающих стать собственниками своих компаний.
Однако у судьбы ИСОПа есть и другая сторона. Предприниматели, высший менеджмент в большинстве случаев не допускают перехода контрольного пакета акций в руки трудового коллектива. Что и следовало конечно ожидать. Продают работникам чаще всего от 20 до 40% общего числа акций, и не допускают представителей коллективов в советы директоров, не дают им права на какое-либо участие в руководстве компаниями.
В полную собственность работников предприятия или коммерческие учреждения переходят, как правило, в случае, когда им грозит разорение или свертывание производства по решению центральных правлений корпораций. В этих ситуациях хозяева бывают рады избавиться от ненужных им хозяйственных объектов хотя бы и по бросовой цене. Но известно и немало случаев, когда хозяева продают коллективам и вполне благополучные фирмы (по схеме ИСОПа или прямым образом). Иногда они при этом остаются управляющими в бывших своих фирмах. В третьей главе мы рассказывали о таком случае — об американском предпринимателе Уоррене Брауне, описавшем свой опыт в книге «Как добиться успеха предприятию, принадлежащему работникам.»
По различным статистическим данным, в США среди всех компаний, применяющих ИСОП, контрольные пакеты акций (или все акции) принадлежат коллективам в 10—20% случаев. И такие компании имеют значительно более высокие экономические показатели, нежели компании с частичной собственностью работников. Анализ, например, деятельности 360 высокотехнологичных компаний показал, что в тех случаях, когда фирмы принадлежит работникам, их капитал растет в 2—4 раза быстрее, чем в фирмах с неполной собственностью коллективов! (Анализ был проведен Национальным центром собственности работников.) И дело здесь не только в большей материальной заинтересованности работников, но и в их положении хозяев, полностью ответственных за судьбу фирмы. Опросы, проведенные в Америке в середине 90-х годов, показали, что «80% населения считают, что люди в компаниях, полностью принадлежащих работникам, уделяют больше внимания обеспечению финансового успеха своих фирм и улучшению качества продукции и услуг, чем работники в компаниях, которые им не принадлежат.» (Д.Симонс и Д.Лоуг, «Мифы, требующие развенчания», «Независимая газета», 30.07.1999)
Отличаются фирмы, принадлежащие трудовым коллективам, и минимальной коррупцией.
Тем не менее хозяева и высшие менеджеры предпочитают сохранять контрольный пакет акций в своих руках, довольствуясь более скромным приростом эффективности за счет ограниченного применения ИСОПа, которое представляет собой в этом случае всего лишь более совершенную премиальную систему.
Но мало того что хозяева и старшие менеджеры сохраняют в своих руках контрольные пакеты акций, они нередко, как мы уже упоминали, вступают в сговор с аудиторами, оценивающими акции их компаний, и стоимость акций менеджеров растет значительно быстрее, чем акций работников! Луис Келсо в конце своей деятельности с горечью писал по этому поводу: «Вместо того, чтобы сделать экономическую власть более демократической, они делают ее более плутократической.» («Time», 1989.13.02.)
Возмущала Келсо и практика продажи американских корпораций (их хозяевами) иностранным фирмам, вместо того чтобы продавать трудовым коллективам. «Приобретение корпорации иностранной фирмой, — считает Келсо, — навсегда экспортирует из национальной экономики потенциальные места для работников капитала, даже если сохраняется занятость работников труда» («Демократия и экономическая власть», Москва, 1993, с. 187). «Работниками капитала», напомню, Келсо называет совладельцев капитала корпораций.
Почти не распространяется ИСОП и среди гигантских акционерных корпораций, ТНК — владений анонимного капитала. Владельцы акций этого капитала далеки от конкретных предприятий и их мало интересует трудовая мотивация в этих предприятиях, их главный интерес — вовремя продавать-покупать акции и иметь хорошие дивиденды.
Луис Келсо к концу жизни с грустью констатирует, что «преобладающая и нарастающая тенденция в экономике США сегодня направлена к концентрации собственности на капитал в руках все более узкого круга владельцев». («Демократия и экономическая власть», с. 154)
Процесс концентрации капитала и как результат — неизбежное обнищание населения, с которым государство вынуждено бороться «социалистическим» перераспределением доходов — все это и дает основание Келсо, как и Милтону Фридману, говорить о том, что США идут «с угрожающей скоростью к государственному социализму». Письмо, из которого я это цитирую, было написано Келсо, когда он уже осознал, какая тенденция преобладает. (Мы эту тенденцию определили как злокачественную конвергенцию худших сторон капитализма и социализма.)
В целом надо сказать, что «Капиталистический манифест» Келсо не был принят во внимание в капиталистических странах, и Келсо потерпел неудачу в своей главной цели — демократизовать всю массу капитала, придать капитализму человеческое лицо. Его суть — агрессивная конкуренция в накоплении капитала и преобладание наемного труда — осталась в неприкосновенности. Все родственные ИСОПу программы, направленные на то, чтобы наделять капиталом (акциями) все слои населения, не только работающих, но и домовладельцев, фермеров, пенсионеров, кустарей, ученых и т.д. уже совершенно не получили внедрения, оказались чистой утопией.
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Евгений Чаркин дал интервью на эту тему gudok.ru/newspaper/?ID=1552569
Под катом мои комментарии на некоторые тезисы.
Больше года назад хабравчанин keklick1337 опубликовал свой единственный пост «Самый беззащитный — это Сапсан» в котором рассказывает как он без серьёзных ухищрений получил доступ ко внутренней сети РЖД через WiFi Сапсана.
В ОАО «РЖД» прокомментировали результаты этого расследования. «Есть результаты проверки. Почему удалось взломать? Наверное, потому, что злоумышленник. Наверное, из-за этого… Ну, он из „фана“. Юный натуралист. Там уязвимостей, которые бы влияли на утечку каких-то критических данных, нет. Мультимедийный портал „Сапсанов“ функционирует как положено и не нуждается в доработке», — заявил Евгений Чаркин.
То есть вместо того, чтобы выразить благодарность за обнаруженную уязвимость, автора обозвали «злоумышленником» и «Юным натуралистом».
К сожалению, но специалисты РЖД, начиная с директора по информационным технологиям, отнеслись к статье очень пренебрежительно, проигнорировав важное указание автора:
Также оттуда в сеть РЖД есть впн. Если захотите — найдёте её там сами.
И вот, год спустя я попал в сеть РЖД даже не садясь в Сапсан.
Видимо, только этот котэ добросовестно охраняет вокзал.
Как именно я попал в сеть РЖД с пруфами, чего не сделал директор по информационным технологиям ОАО «РЖД» Чаркин Евгений Игоревич и возможные последствия — под катом.
Вот несколько цитат из интервью с Евгением Чаркиным:
Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании… С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
Сейчас мы разрабатываем механизм привлечения внешних пользователей к аудиту уязвимостей сети на взаимовыгодной основе: будем внедрять специальную линию call-центра, которая поможет маршрутизировать звонки о разных «находках» на внешнем периметре корпоративной сети профильным специалистам в РЖД.
Ура. Если система Bug Bounty будет реализована, то я могу считать, что цель статьи достигнута.
Но:
1. call-центр почти бесполезен. Всё же ИТ специалисты привыкли пользоваться клавиатурой ПК. К тому же по телефону не покажешь уязвимость. Смотрите в сторону современных технологий. Например, бот в Телеграмме
2. Многие энтузиасты готовы сообщать о проблемах и бесплатно. Главное гарантируйте то, что этих энтузиастов не будут ребята в касках класть мордой в пол в 5 утра в их квартире.
3. А система материального поощрения — это всегда приятно.
Всё началось с гипотезы
В интернете очень много бесплатных прокси-серверов. Но кто в здравом уме будет открывать всем желающим выход в интернет через свой роутер? Вариантов по большому счету два: это либо взломанные устройства, либо владелец забыл отключить эту функцию.
Таким образом меня посетила идея проверить гипотезу: «Есть ли жизнь за прокси»?
Я запустил nmap по диапазону адресов по порту 8080. Далее из полученного результата прошёлся прокси-чеккером в поисках публичного прокси без авторизации и из положительных результатов выбрал самый близкий ко мне по пингу.
Запустил сканер через него по адресам 172.16.0.0/12 порт 8291 (mikrotik winbox). И! Я его нашёл! Без пароля!
То есть за роутером с прокси есть ещё один — Mikrotik без пароля. Гипотеза подтверждена: за прокси могут быть целые незащищённые сети.
Только на тот момент я недооценивал масштаб «незащищённости», который я случайно нашёл.
В поисках Немо владельца системы
Так как я придерживаюсь принципов Grey hat (Обо мне mysterious Russian-speaking grey-hat hacker Alexey и статья на Хабре) и «съел собаку» на безопасности Mikrotik, то я принялся искать владельца системы, чтобы связаться с ним.
Кстати, заходите в Телеграм чат о Микротике «RouterOS Security» t.me/router_os и о Zyxel t.me/zyxelru
Недолго думая я поднял исходящий VPN до себя. Всё же комфортней через нормальный туннель дальше изучать сеть и искать признаки владельца системы. HTTP connect — ещё тот геморрой…
За интерфейсами ether1 и bridge ничего интересного не обнаружил. Найденные камеры были абсолютно не информативными.
А вот сканирование vpn, отмеченные красным на скрине выше, выдало более 20 000 устройств…
Причём более 1000 штук — микротики. Огромное количество устройств с заводскими паролями.
Вот некоторые из найденных сервисов с паролями по умолчанию:
1. Камеры наружного наблюдения — подавляющее большинство.
Камер, по скромным ощущениям, не менее 10 000 штук. Производители разные: beward, axis, panasonic и т.д.
2. Ip-телефоны и FreePBX сервера также большое количество.
Много узлов кластера Proxmox (по поднятым сервисам и трафиком между ними.)
6. Внутренние сервисы
Различные системы управления табло на перронах 🙂
Некий терминал, но внутри модифицированный дебиан.
Кстати, аптайм у него почти год:
6. Сетевое оборудование
Разумеется, много различных роутеров. Как уже сказано выше, мне больше интересны Микротики. Подавляющее большинство с последней прошивкой и пароли не пустые. Но есть без паролей и с устаревшими прошивками.
Туннели наружу подымаются легко. То есть фильтрации исходящих коннектов практически нет.
Более того огромное количество микротиков со включенным прокси, аналогично тому, при помощи которого я и попал в эту сеть… Кстати, туннели через них тоже замечательно подымаются.
Не полный кусок лога по прокси.
Такое ощущение, что интегратор, который строил сеть, специально оставил этот доступ.
И все же кто же хозяин?
Думаю, что уже все и так догадались.
Это я пробежался по верхушкам в рандомном порядке. Потратил я на это чуть больше 20 минут, чем автор статьи про Сапсан.
Это здец. Сеть просто в решето.
Причём это устройства по всей РФ.
Развёрнута профессиональная система видеонаблюдения.
Находил Кемерово, Новосибирск, Омск и т.д. По внешнему виду вокзалы сложно определить. К тому же я поездом уже лет 5 не ездил.
Как же так получилось?
Я всегда считал, что уязвимости в корпоративных сетях появляются из-за ошибок или специальных действий безграмотных сотрудников. Первое что пришло мне в голову — это некий сотрудник по разрешению СБ поднял у себя из дома VPN до рабочей сети на микротике в своей домашней сети. Но в данном случае эта моя гипотеза разбилась как только я увидел обратный резолв адреса через который я попал на этот Микротик.
То есть это один из шлюзов в мир из сети РЖД. Ну и в сеть РЖД тоже…
Получилась вот такая картина:
«Российские железные дороги» провели проверку после взлома мультимедийной системы поезда «Сапсан» одним из пассажиров, критических уязвимостей не обнаружено.
Так дайте ответ, Евгений Игоревич, какой «Юный натуралист» проводил расследование и не заметил гнездо со слонами?
У меня лично есть всего три варианта ответа на этот вопрос:
1. У Вас исходно плохая команда.
Проверку проводил тот же отдел, который и проектировал/обслуживает систему. Отрицая проблему, они или сохраняют свою работу, или преследуют иные цели.
2. Вы доверились не тому специалисту. Аудит проводил некомпетентный сотрудник.
3. Вы и так знаете о проблеме, но по каким-то неведомым причинам не можете ее публично признать и решить.
Что нужно изменить, чтобы снизить вероятность возможных последствий?
Далее чисто мой взгляд на решение данной ситуации. Он ничего общего не имеет с мировыми best practices.
Так же, сразу оговорюсь, что проблема касается только обнаруженной мною сети видеонаблюдения. В других сегментах сети РЖД, очень надеюсь, всё намного лучше.
1. Нанять сетевых аудиторов, которые помогут найти и закрыть самые «зияющие» дыры.
2. Нанять крутых системных архитекторов, которые имеют богатый опыт построения больших сетей. И не факт, что это будут российские специалисты. Перед ними поставить следующие задачи:
2.1. доработать текущую инфраструктуру до безопасного состояния за минимальные средства (зачем вкладывать много денег в проект, который скоро разберут)
2.2. разработать новую полноценную инфраструктуру, отвечающую всем требованиям безопасности и план поэтапной миграции.
3. Нанять подрядчика, который будет реализовывать в жизни данные проекты и передавать на эксплуатацию сетевикам РЖД.
4. После сдачи проектов провести аудит безопасности инфраструктуры.
5. По окончанию пентестов своими силами объявить Bug Bounty
Чтобы мотивировать аудиторов и внутренних специалистов работать качественно, надо объявить лимит на количество и серьёзность уязвимостей, которые могу найти участники программы Bug Bounty. Если внешние специалисты найдут багов меньше лимита, то свои аудиторы получают премии. Если багов будет больше лимита, то штрафовать.
В дальнейшем службу внутреннего аудита информационной безопасности оставить на постоянку и премии формировать уже на основании обнаруженных багов и их устранении.
Разумеется, что схема имеет огромное количество подводных камней, которые за время написания статьи предусмотреть не возможно.
Заключение
Я не единственный кто нашёл данные уязвимости. Очень много признаков, что в этой сети кто-то «живёт».
Например, вот эти линки я уже встречал не раз на роутерах, никак не относящихся к РЖД.
Все информационные системы уязвимы априори. Когда их вскроют — зависит от интереса злоумышленников к ним, беспечности создателя и времени, которое они на это потратят.
Основой основ безопасности является ограничение доступа к системам при несанкционированном проникновении в одно устройство.
В случае с Сапасаном, чтобы через полученный VPN доступ можно было увидеть только один сервис — с которым взаимодействует пользователь системы, а не всю сеть РЖД…
Я старался достаточно жирно намекнуть на узкие места не раскрывая деталей и надеюсь, что специалисты РЖД их всё же увидят.